PCI 3DSとは、EMVCoのEMV 3-Dセキュア(3DS)プロトコルの安全な実装をサポートするため、PCIセキュリティ基準審議会(PCI SSC)によって新たに公開された2つのセキュリティ基準のことです。EMV 3-Dセキュアは、認証を得ていない非対面決済(Card Not Present、CNP)を防ぐ有効な手段であり、ブラウザやモバイルアプリを通じたオンライン取引における非対面不正利用被害からEC加盟店を守ります。このEMV 3-Dセキュアソリューションの機能テストおよびセキュリティ評価のために、EMVCoとPCI SSCが共同で策定した、高速かつ実効性のあるフレームワークがPCI 3DSです。
EMV®3-Dセキュアの主要コンポーネントであるACS、DS、3DSサーバーに対するPCIのセキュリティ要件と評価手順(PCI 3DSコアセキュリティ基準)とEMV®3-DセキュアSDKに対するPCIのセキュリティ要件と評価手順(PCI 3DS SDKセキュリティ基準)は、EMV®3-Dセキュアインフラの保護に重点を置き、3Dセキュアトランザクションをサポートしています。
EMV 3-Dセキュアプロトコルおよび主要機能の仕様をサポートしているのが、PCI 3DSコアセキュリティ基準です。3Dセキュアのコンポーネントであるアクセスコントロールサーバー(ACS)、ディレクトリサーバー(DS)、3DSサーバー(3DSS)を管理、提供、評価するエンティティに適用されます。PCI 3DSコアセキュリティ基準では、これら特定の3Dセキュア環境を保護するための適切なセキュリティ制御が定義されており、3Dセキュアのトランザクション処理にとって極めて重要なものです。認定セキュリティ評価者(QSA)は、PCI 3DSコアセキュリティ基準に従って3Dセキュア環境を評価するための研修を受けます。
EMV®3DS SDKの仕様をサポートするPCI 3DS SDKセキュリティ基準は、モバイル機器で3Dセキュアトランザクションを使用するための3DSソフトウェア開発キット(SDK)を開発するエンティティに向けた要件を定義しています。この基準は3DS SDKプロダクトの開発者やベンダが対象で、セキュアなSDKの設計・開発に重点が置かれています。
PCI SSCでは2018年からバリデーション支援プログラムの開発に取り組んでいます。これは2017年にモデルケースとして初めてテストが行われたものです。最終的な手順には、PCI SSCリストのSDKソリューションが含まれ、PCI 3DS SDKセキュリティ基準を満たすことになります。
当社は、世界で初めてPCI 3DSの認定を受けたQSA企業の一つであり、PCI DSSや3Dセキュアに関するコンサルティングと審査サービスのフロントランナーです。当社は全面的かつシンプルなプロセスで、事業者様の情報セキュリティを確保し、準拠を実現します。
経験豊富な当社のコンサルタント陣がトータルなPCI 3DS準拠サービスを提供します。前半のコンサルティング段階から後半の準拠段階まで、最も効率的な方法により、お客様とともに迅速かつ完璧な準拠を達成します。
当社は設立以来、お客様やマーケットから長きにわたり信頼と評価をいただいており、当社のコンサルタント陣は専門知識を活かして数多くの企業様の準拠を実現してきました。3Dセキュアの機能を実行する事業者様に対しても、3Dセキュア環境やセキュリティに影響を与える可能性のあるサードパーティの事業者様に対しても、当社の専門コンサルタントが基準への完璧な準拠を支援いたします。
Part1の「ベースラインセキュリティ要件」では、強固なファイアウォールとネットワークセキュリティを求めています。また、実装するベンダにも、毎年4回の外部脆弱性スキャン(Vulnerability Scan)、外部ペネトレーションテスト(侵入テスト)、年に1回の外部・内部脆弱性スキャンの実施、監視体制や24時間インシデント対応体制の構築など、強固な情報セキュリティを要求しています。
Part1の「ベースラインセキュリティ要件」を完了した後は、Part2の「3DSセキュリティ要件」の導入をサポートいたします。3Dセキュアのデータ、技術、手順に焦点を当て、これらの機能のセキュリティ対策を支援します。
当社は、PCI SSCが策定したペイメントカード業界のセキュリティ基準準拠サービスのほかにも、以下のような各種関連サービスを提供しています。
ご不明な点がございましたら、お気軽にお問い合わせください!
